10
Windows Server Lizenzierung in gemeinsam genutzten Netzwerk
Hallo,
ich habe eine grundsätzliche Verständnisfrage hinsichtlich Windows Server Lizenzierung - insbesondere im Hinblick auf CAL / External Connector, wo ich nach meiner bisherigen Suche/Anfragen keine wirkliche Lösung gefunden bzw. widersprüchliche Aussagen erhalten habe.
Folgendes Szenario:
Ein Unternehmen (ca. 10 Mitarbeiter) möchte in einem gemeinsamen Netzwerk mit einem anderen Unternehmen (ca. 20000 Mitarbeiter am Standort) einen Windows Server betreiben, auf den nur Mitarbeiter des kleinen Unternehmens zugreifen sollen, aber rein technisch auch Mitarbeiter des großen Unternehmens zugreifen könnten, da er nicht im Netzwerk abgeschottet ist. Zugriff heißt Stand heute Ordnerfreigabe/Dateiserver, FlexLM-Lizenz-Server, unternehmensspezifische Anwendungssoftware. Möglicherweise soll in Zukunft noch ein AD ergänzt werden, dann aber wahrscheinlich auf einem separaten Server. Falls es von Bedeutung ist: Das große Unternehmen ist zu 10 % am kleinen beteiligt, das dürfte aber noch nicht als "verbundenes Unternehmen" zählen.
Jetzt stellt sich die Frage, ob 10 User-CAL hierfür ausreichend sind oder ob allein die Möglichkeit, dass die anderen 20000 darauf zugreifen könnten (sie haben keine Zugriffsrechte, könnten aber im Netzwerk eine Verbindung zum Server aufbauen), eine External Connector Lizenz erfordert.
Würde es einen Unterschied machen, wenn z. B. nur der FlexLM-Lizenz-Server (nicht von Microsoft) darauf läuft? In den Lizenzbedingungen von Microsoft wird ja immer von "Zugriff auf Serversoftware" geschrieben - beinhaltet die "Serversoftware" ausschließlich Microsoft-Software, beliebige (Fremd-)Software oder nur dann Fremdsoftware, wenn diese z. B. eine Authentifizierung über das AD durchführen würde oder anderweitig Microsoft-Software nutzt.
Grüße,
Kissezeker
ich habe eine grundsätzliche Verständnisfrage hinsichtlich Windows Server Lizenzierung - insbesondere im Hinblick auf CAL / External Connector, wo ich nach meiner bisherigen Suche/Anfragen keine wirkliche Lösung gefunden bzw. widersprüchliche Aussagen erhalten habe.
Folgendes Szenario:
Ein Unternehmen (ca. 10 Mitarbeiter) möchte in einem gemeinsamen Netzwerk mit einem anderen Unternehmen (ca. 20000 Mitarbeiter am Standort) einen Windows Server betreiben, auf den nur Mitarbeiter des kleinen Unternehmens zugreifen sollen, aber rein technisch auch Mitarbeiter des großen Unternehmens zugreifen könnten, da er nicht im Netzwerk abgeschottet ist. Zugriff heißt Stand heute Ordnerfreigabe/Dateiserver, FlexLM-Lizenz-Server, unternehmensspezifische Anwendungssoftware. Möglicherweise soll in Zukunft noch ein AD ergänzt werden, dann aber wahrscheinlich auf einem separaten Server. Falls es von Bedeutung ist: Das große Unternehmen ist zu 10 % am kleinen beteiligt, das dürfte aber noch nicht als "verbundenes Unternehmen" zählen.
Jetzt stellt sich die Frage, ob 10 User-CAL hierfür ausreichend sind oder ob allein die Möglichkeit, dass die anderen 20000 darauf zugreifen könnten (sie haben keine Zugriffsrechte, könnten aber im Netzwerk eine Verbindung zum Server aufbauen), eine External Connector Lizenz erfordert.
Würde es einen Unterschied machen, wenn z. B. nur der FlexLM-Lizenz-Server (nicht von Microsoft) darauf läuft? In den Lizenzbedingungen von Microsoft wird ja immer von "Zugriff auf Serversoftware" geschrieben - beinhaltet die "Serversoftware" ausschließlich Microsoft-Software, beliebige (Fremd-)Software oder nur dann Fremdsoftware, wenn diese z. B. eine Authentifizierung über das AD durchführen würde oder anderweitig Microsoft-Software nutzt.
Grüße,
Kissezeker
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 524247
Url: https://administrator.de/contentid/524247
Printed on: April 26, 2024 at 16:04 o'clock
10 Comments
Latest comment
Hallo kissezeker,
warum trennt Ihr die Netze nicht einfach? Ist sowieso sinnvoll, Firewall und gut ist.
VG
warum trennt Ihr die Netze nicht einfach? Ist sowieso sinnvoll, Firewall und gut ist.
VG
Hallo.
Das klingt nach mach mal eben schnell, ohne sich hier über die Tragweiten Gedanken gemacht zu haben.
Wie certified.net schrieb, Netze in der Firewall trennen und fertig ist die Laube. Denn selbst wenn Unternehmensbeteiligungen vorhanden sind, gibt es doch bestimmt immer noch berechtigtes Interesse daran gewisse Dinge nicht jedem verfügbar zu machen.
Gruß
Radiogugu
Das klingt nach mach mal eben schnell, ohne sich hier über die Tragweiten Gedanken gemacht zu haben.
Wie certified.net schrieb, Netze in der Firewall trennen und fertig ist die Laube. Denn selbst wenn Unternehmensbeteiligungen vorhanden sind, gibt es doch bestimmt immer noch berechtigtes Interesse daran gewisse Dinge nicht jedem verfügbar zu machen.
Gruß
Radiogugu
Hallo,
der Vorschlag der Trennung wäre natürlich die eleganteste und sicherste, der auch von mir schon ins Spiel gebracht wurde, allerdings lässt er sich in der Praxis nicht umsetzen, da es praktisch keine wirkliche Trennung gibt. Die 10 MA der kleinen Firma arbeiten in wechselnden Räumlichkeiten der großen Firma an Geräten/Rechnern der großen sowie auch an eigenen Geräten der kleinen Firma und können und sollen auf beide Firmennetzwerke zugreifen können, haben in der großen auch Zugangsberechtigungen. Würde man nur lokal inein paar Büros arbeiten, wäre die Trennung notfalls über VLAN sicher kein Problem, aber so ist "einfach" eben leider nicht einfach.
Daher wollte ich auch gar keine Diskussion über die ethische Perfektion der Umgebung anstoßen, die sicherlich ihre Berechtigung hat, sondern auf die lizenzrechtlichen Anforderungen eingehen.
Grüße,
Kissezeker
der Vorschlag der Trennung wäre natürlich die eleganteste und sicherste, der auch von mir schon ins Spiel gebracht wurde, allerdings lässt er sich in der Praxis nicht umsetzen, da es praktisch keine wirkliche Trennung gibt. Die 10 MA der kleinen Firma arbeiten in wechselnden Räumlichkeiten der großen Firma an Geräten/Rechnern der großen sowie auch an eigenen Geräten der kleinen Firma und können und sollen auf beide Firmennetzwerke zugreifen können, haben in der großen auch Zugangsberechtigungen. Würde man nur lokal inein paar Büros arbeiten, wäre die Trennung notfalls über VLAN sicher kein Problem, aber so ist "einfach" eben leider nicht einfach.
Daher wollte ich auch gar keine Diskussion über die ethische Perfektion der Umgebung anstoßen, die sicherlich ihre Berechtigung hat, sondern auf die lizenzrechtlichen Anforderungen eingehen.
Grüße,
Kissezeker
Daher wollte ich auch gar keine Diskussion über die ethische Perfektion der Umgebung anstoßen, die sicherlich ihre Berechtigung hat, sondern auf die lizenzrechtlichen Anforderungen eingehen.
Das eine hat viel mit dem anderen zu tun. In dem Fall braucht Ihr ein anderes Konzept. Räumliche Trennung und dann Zugriffsberechtigungen nach Umgebung, Sinn und Zweck.
Moin,
Gruß,
Dani
Würde es einen Unterschied machen, wenn z. B. nur der FlexLM-Lizenz-Server (nicht von Microsoft) darauf läuft?
ich mach es kurz: Nein.Das große Unternehmen ist zu 10 % am kleinen beteiligt, das dürfte aber noch nicht als "verbundenes Unternehmen" zählen
Sprich ihr seid beides eigenständige Unternehmens (AG oder/und GmbH)? Dann sieht es schlecht aus.Ein Unternehmen (ca. 10 Mitarbeiter) möchte in einem gemeinsamen Netzwerk mit einem anderen Unternehmen (ca. 20000 Mitarbeiter am Standort) einen Windows Server betreiben, auf den nur Mitarbeiter des kleinen Unternehmens zugreifen sollen, aber rein technisch auch Mitarbeiter des großen Unternehmens zugreifen könnten, da er nicht im Netzwerk abgeschottet ist.
Äh, ist die Security Abteilung des großen Unternehmens schon im Weihnachtsurlaub? Das geht gar nicht... unabhängig der Lizenzierung. Wenn ihr Malware auf dem Server hat, geht's im großen Unternehmen ggf. richtig rund.Gruß,
Dani
Moin,
Hmmm, zwei Domains mit einer unidirektionalen Vertrauensstellung? Dann wäre einerseits gewährleistet, dass die MA der kleinen Firma auf die Domain der großen zugreifen können, aber die der großen nicht auf die der kleinen. Dann gibt es imho auch kein Problem mehr mit der Lizenzierung in der kleinen Firma, da der Zugriff der große auf die kleine nicht mehr möglich ist.
hth
Erik
Zitat von @Kissezeker:
der Vorschlag der Trennung wäre natürlich die eleganteste und sicherste, der auch von mir schon ins Spiel gebracht wurde, allerdings lässt er sich in der Praxis nicht umsetzen, da es praktisch keine wirkliche Trennung gibt. Die 10 MA der kleinen Firma arbeiten in wechselnden Räumlichkeiten der großen Firma an Geräten/Rechnern der großen sowie auch an eigenen Geräten der kleinen Firma und können und sollen auf beide Firmennetzwerke zugreifen können, haben in der großen auch Zugangsberechtigungen.
der Vorschlag der Trennung wäre natürlich die eleganteste und sicherste, der auch von mir schon ins Spiel gebracht wurde, allerdings lässt er sich in der Praxis nicht umsetzen, da es praktisch keine wirkliche Trennung gibt. Die 10 MA der kleinen Firma arbeiten in wechselnden Räumlichkeiten der großen Firma an Geräten/Rechnern der großen sowie auch an eigenen Geräten der kleinen Firma und können und sollen auf beide Firmennetzwerke zugreifen können, haben in der großen auch Zugangsberechtigungen.
Hmmm, zwei Domains mit einer unidirektionalen Vertrauensstellung? Dann wäre einerseits gewährleistet, dass die MA der kleinen Firma auf die Domain der großen zugreifen können, aber die der großen nicht auf die der kleinen. Dann gibt es imho auch kein Problem mehr mit der Lizenzierung in der kleinen Firma, da der Zugriff der große auf die kleine nicht mehr möglich ist.
hth
Erik
Moin,
Gruß,
Dani
Hmmm, zwei Domains mit einer unidirektionalen Vertrauensstellung? Dann wäre einerseits gewährleistet, dass die MA der kleinen Firma auf die Domain der großen zugreifen können, aber die der großen nicht auf die der kleinen.
Not A Security Boundary: Breaking Forest TrustsGruß,
Dani
Moin,
Ja und?
Liebe Grüße
Erik
Zitat von @Dani:
Moin,
Moin,
Hmmm, zwei Domains mit einer unidirektionalen Vertrauensstellung? Dann wäre einerseits gewährleistet, dass die MA der kleinen Firma auf die Domain der großen zugreifen können, aber die der großen nicht auf die der kleinen.
Not A Security Boundary: Breaking Forest TrustsJa und?
we determined that administrators from one forest can in fact compromise resources in a forest that it shares a two-way interforest trust with.
Und ich sprach ja von einer unidirektionalen Vertrauensstellung. Liebe Grüße
Erik
Moin,
danke für die kurze Antwort, das deckt sich mit der Mehrheit der mir vorliegenden Meinungen.
Ja, rein formal sind es bis auf die geringe Beteiligung unabhängige Unternehmen.
Der Security-Aspekt wurde ja hier schon ausgiebig mit richtigen Anmerkungen diskutiert. Da die vorgesehene und bereits gelebte Form der IT-Vermischung jedoch von beiden Unternehmensführungen gewünscht ist, ist es für die IT schwer, alles abzuschotten und zu sagen: Pech gehabt. Mit eventuellen Konsequenzen (Security / Lizenzrecht) muss die Unternehmensführung natürlich am Ende leben.
Grüße,
Kissezeker
danke für die kurze Antwort, das deckt sich mit der Mehrheit der mir vorliegenden Meinungen.
Ja, rein formal sind es bis auf die geringe Beteiligung unabhängige Unternehmen.
Der Security-Aspekt wurde ja hier schon ausgiebig mit richtigen Anmerkungen diskutiert. Da die vorgesehene und bereits gelebte Form der IT-Vermischung jedoch von beiden Unternehmensführungen gewünscht ist, ist es für die IT schwer, alles abzuschotten und zu sagen: Pech gehabt. Mit eventuellen Konsequenzen (Security / Lizenzrecht) muss die Unternehmensführung natürlich am Ende leben.
Grüße,
Kissezeker
Hallo,
das wäre natürlich eine Überlegung wert, werde ich mal mit den Kollegen diskutieren. Die Frage der Lizenzierung wäre aber nach wie vor aktuell - man braucht ja schon User- oder Device-CALs wenn ein Drucker über DHCP eine IP bekommt oder über ntp die Zeit synchronisiert. Der hat ja auch kein direktes Zugriffsrecht, also würde ich nach wie vor von der Notwendigkeit der External Connector Lizenz ausgehen, selbst wenn niemand aus der großen Firma benutzerdefinierte Zugriffsrechte auf dem Server hat, aber aufgrund fehlender bzw. nicht möglicher Firewall-Abschottung auf den Server zugreifen könnte - und wenn es nur ein Ping oder die Zeitsynchronisierung ist.
Grüße,
Kissezeker
das wäre natürlich eine Überlegung wert, werde ich mal mit den Kollegen diskutieren. Die Frage der Lizenzierung wäre aber nach wie vor aktuell - man braucht ja schon User- oder Device-CALs wenn ein Drucker über DHCP eine IP bekommt oder über ntp die Zeit synchronisiert. Der hat ja auch kein direktes Zugriffsrecht, also würde ich nach wie vor von der Notwendigkeit der External Connector Lizenz ausgehen, selbst wenn niemand aus der großen Firma benutzerdefinierte Zugriffsrechte auf dem Server hat, aber aufgrund fehlender bzw. nicht möglicher Firewall-Abschottung auf den Server zugreifen könnte - und wenn es nur ein Ping oder die Zeitsynchronisierung ist.
Grüße,
Kissezeker